CrypTool im Awareness-Bereich

Unter den Begriffen Awareness oder Security-Awareness wird üblicherweise das Bewusstsein für allgemeine Belange der Informationssicherheit verstanden. Es geht dabei nicht nur um Themen der Kryptologie, also beispielsweise das Verschlüsseln von vertraulichen Informationen, sondern um ein zunächst sehr viel weiter gefasstes Thema.

Dies soll mit Hilfe der folgenden Abbildung veranschaulicht werden:

IT-Sicherheit beschreibt ein Feld umfassender Tätigkeiten, die den Einsatz von IT-Systemen mit Sicherheitsmaßnahmen unterstützen, um Unternehmen, Kunden und externen Partnern einen möglichst hohen Schutz der elektronischen Informationen zu bieten. Das Ziel besteht darin, Informationen und Prozesse zu schützen sowie IT-bezogene Beeinträchtigungen der Geschäftstätigkeiten weitestgehend auszuschließen.

Zu den Maßnahmen der IT-Sicherheit gehören, neben den Verfahren, die die Kryptologie bietet, z.B. Netzwerk-Monitoring, Antivirenschutz, Patchmanagement, Desaster Recovery Planung (DR), Business Continuity Management (BCM) und Awareness für IT-Sicherheit. Einen guten Überblick über diese Maßnahmen bieten die Grundschutzkataloge (ehemals Grundschutzhandbuch) des Bundesamt für Sicherheit in der Informationstechnik (BSI).

Noch eine Ebene über der IT-Sicherheit liegt das Risikomanagement, das sich bis zum Schutz kritischer Infrastrukturen (KRITIS) erstreckt. Kritische Infratrukturen sind definiert, als Organisationen oder Einrichtungen mit (lebens-)wichtiger Bedeutung für das staatliche Gemeinwesen.

Unter Risikomanagement versteht man den planvollen und bewussten Umgang mit Risiken. Dabei kann es sich um allgemeine unternehmerische Risiken handeln oder beispielsweise um spezielle finanzielle Risiken. Die Ursprünge des systematischen Risikomanagements liegen im Finanzwesen. Seit einigen Jahren wird Unternehmen weltweit durch diverse rechtliche und regulatorische Vorgaben ein Rahmen für das Risikomanagement aufgezeigt. Als Beispiele seien hier das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), der Sarbanes-Oxley Act (SOX) und die Mindestanforderungen an das Risikomanagement (MaRisk) genannt.

Bei den Maßnahmen zur Risikominderung spielt das Thema Kryptologie heute eine immanente Rolle. Ein Grundverständnis für Kryptologie ist hier notwendig, um geeignete Maßnahmen und Kontrollen zu ergreifen, so dass die Schutzziele Authentizität, Vertraulichkeit, Integrität, Verbindlichkeit in einem möglichst optimalen Kosten-/Nutzenverhältnis erreicht werden. Die folgende Abbildung veranschaulicht, wie CrypTool in diesem Kontext zum Verständnis – und damit zur Awareness – beitragen kann.


Standardisierung und Management-Sichtbarkeit von Kryptologie

Neben der bisherigen Gliederung, die sich aus technischer und Risikomanagement-Sicht ergibt, kann man die Hauptgebiete der Kryptologie in die 5 folgenden Komponenten (Algorithmen, Protokolle, Schlüssel-Management, Best Practice Implementierung sowie regulatorische Anforderungen) unterteilen. Diese 5 Komponenten haben aus Unternehmensperspektive (insbesondere die Sichtbarkeit für das Management), hinsichtlich des Grades der Standardisierung sowie im Hinblick auf die wissenschafliche Aufmerksamkeit sehr unterschiedliche Stellungsmerkmale.


Algorithmen

Algorithmen bilden die Grundlage der Kryptologie. Bekannte Algorithmen wie z.B. AES, 3DES oder RSA sind in einem hohen Maße standardisiert und stehen im Fokus der Forschung im Bereich Kryptologie sowie Mathematik.


Protokolle

Protokolle verwenden die Algorithmen der Kryptologie. Sie werden genutzt, um Informationen sicher zwischen Kommunikationspartnern zu transportieren und dadurch eine kommerzielle Nutzung der elektronischen Kommunikation zu ermöglichen. Typische Protokolle sind z.B. TLS, SSL oder IPsec. Ähnlich wie Algorithmen sind die Protokolle ebenfalls standardisiert. Sie sind durch den breiten Einsatz im Internet und Intranet für viele Benutzer weitaus bekannter als die von ihnen verwendeten Algorithmen.


Schlüssel-Management

Ein überaus wichtiger Bestandteil der Kryptologie besteht in der Verwaltung der Schlüssel, dem sogenannten Key Management. Da die Algorithmen und Protokolle i.d.R. auf Schlüsseln basieren, gilt es, die Schlüssel sicher abzulegen und zu verwalten. Im Bereich des Schlüssel-Managements existieren eine Reihe von Standards wie z.B. ISO, PKIX oder XKMS.


Best Practice Implementierung

Eine wesentliche Fragestellung, insbesondere aus Sicht von Unternehmen, bezieht sich auf die geeignete Implementierung von Kryptologie. Abgeleitet vom Risiko-Management sind geeignete Mechanismen der IT-Sicherheit zu implementieren, die letztendlich in einer Implementierung von Methoden der Kryptologie resultieren. Dabei sind kryptologische Verfahren in oftmals heterogenen Systemlandschaften zu implementieren und moderne Architekturen durch den Einsatz von Kryptologie abzusichern.


Regulatorische Anforderungen

Regulatorische Anforderungen werden vom Gesetzgeber erlassen und müssen von den Unternehmen umgesetzt werden. Insbesondere im Hinblick auf den Bereich Kryptologie ist hierbei wichtig, ob einheitliche Standards zur Sicherheit von elektronischen Daten geschaffen werden können. Aus Sicht von Unternehmen ist es wichtig, eine Form der Rechtssicherheit zu erzielen ist, um sichere elektronische Kommunikation gesetzlich abzusichern (z.B. mittels elektronischer Signaturen).


CrypTool in der Lehre

Das Thema Kryptologie beschäftigt die Menschheit bereits seit drei Jahrtausenden. Bis in die Mitte des 20. Jahrhunderts hinein war es jedoch nur für eine kleine Interessengruppe wirklich interessant – Diplomaten und das Militär. In jeder militärischen Auseinandersetzung sind der geheime Austausch von Informationen bzw. das Abhören dieser Informationen überlebenswichtig. Daher spielte sich ein Großteil der Krypto-Forschung zunächst unter Ausschluss der Öffentlichkeit ab.

Mit dem Beginn des Informationszeitalters – spätestens mit der weltweiten Verbreitung des Internets im privaten Bereich – wurden kryptographische Mechanismen auch für andere Anwendungen interessant, z.B.:

  • Abhörsichere Verbindung und sichere Identifikation im Online-Banking
  • Abhörsichere Kommunikation im Mobilfunk (Handy)
  • Abhörsichere und verbindliche Kommunikation via E-Mails
  • Elektronische Alternativen zu handschriftlichen Unterschriften
  • Elektronischer Schutz des (geistigen) Eigentums (DVD, Pay-TV)
  • Diebstahlschutz für Kraftfahrzeuge (Wegfahrsperre)

Diese Auflistung von kommerziell und nicht-militärisch getriebenen Anwendungsbeispielen ist bei weitem nicht vollständig. Sie zeigt aber, dass das Thema Kryptologie in der heutigen Zeit jeden Menschen in der Informationsgesellschaft betrifft. Damit sind auch die Forschung und Lehre auf diesem Gebiet von großer Wichtigkeit.

Zunächst wurde die Krypto-Forschung im kommerziellen Sektor ebenfalls unter Ausschluss der Öffentlichkeit durchgeführt. Nachdem Unternehmen mit dem Ansatz Security by Obscurity zum Teil sehr unerfreuliche Erfahrungen sammelten, beherzigte man in den vergangenen Jahren immer mehr das bereits 1883 formulierte Kerckhoffs'sche Prinzip:

Die Sicherheit eines Kryptosystems darf nicht von der Geheimhaltung des Algorithmus abhängen. Die Sicherheit gründet sich nur auf die Geheimhaltung des Schlüssels.

Inzwischen sind die öffentliche Forschung und Lehre auf dem Gebiet der Kryptologie nicht mehr weg zu denken und ihre Bedeutung wird sich in Zukunft noch verstärken. CrypTool bietet optimale Möglichkeiten, einen Überblick über die Geschichte der Kryptologie und einen Einstieg in den aktuellen Stand der Forschung zu erhalten. Das Programm und die ergänzenden Materialien können sowohl zum Selbststudium als auch vorlesungs- bzw. unterrichtsbegleitend eingesetzt werden.

Anmerkung: Angeregt durch Teilnehmer der INFOS-Konferenz wurde das Cryptoportal für Lehrer aufgebaut, wo Lehrer ihre Unterrichtsmaterialien zum Thema Kryptologie hochladen konnten. Mangels neuer Beiträge wurde es wieder eingestellt und dient nun noch als Sammlung von Links für entsprechende Unterrichtsmaterialien.


Drucken